Производители Android телефона пропустить обновления безопасности Google без ведома пользователей – исследование
Опубликованно 12.05.2018 02:38
Некоторые производители Android-смартфонов не пропускать обновлений безопасности без уведомления пользователей, вместо этого утверждая, что программное обеспечение смартфона до Дата с ежемесячным обновлениям безопасности компании Google, утверждают исследователи.
Исследователи из исследования безопасности Германии лабораторий (СНИЛ) провели двухлетнее исследование на состояние безопасности Android сосредоточены вокруг ежемесячные обновления, проблемы Google и призывает производителей смартфонов установить.
Эти ежемесячные обновления имеют решающее значение для поддержания безопасной смартфонов, ремонт коллекциях известные баги и дыры каждый месяц, чтобы держать злоумышленников в страхе. Однако исследователи нашли там часто скрытый “залатать брешь” между тем, что говорят пользователи, и какие они на самом деле сделать, чтобы программа – некоторым просто говорить людям, что они обновили телефонов без исправлений.
“Установка патчей каждый месяц, является важным первым шагом, но по-прежнему недостаточно, если все соответствующие патчи не включены в обновления”, - заявили исследователи. “Наше исследование Android телефонов считает, что большинство производителей Android регулярно забывают включать в себя некоторые исправления, оставляя части экосистемы подвержены базовых рисков”.
Каждое ежемесячное обновление для системы безопасности содержит набор патчей для различных ошибок в безопасности. Гуглить времени ежемесячные обновления безопасности, так что пользователи могут увидеть, если их смартфонов были обновлены с последними исправлениями. Но в то время как производители могут установить некоторые исправления, изменив дату обновление до последней доступной в процессе, они могут не устанавливать все патчи в комплекте в любом конкретном месяце.
В выводах должны быть представлены на Hack в окне конференции по безопасности в Амстердаме в пятницу, говорят исследователи из испытанных 1,200 смартфонов, некоторые производители могут пропустить один или два патча от ежемесячного обновления безопасности, но другие могут пропустить многое другое.
Не удается обновить свои смартфоны с последними обновлениями безопасности-это одно, но обсолютно обнаружили, что некоторые просто лгут об установке каких-либо патчей вообще.
Продукт безопасности Android от Google водят, Скотт Робертс, сказал: ‘Мы работаем с [СРЛ], чтобы улучшить свои механизмы обнаружения для учета ситуаций, когда устройство использует альтернативный обновлений безопасности, а не Гугл-предложил обновление для системы безопасности.’ Фото: Патрик Semansky/АП
“Мы нашли несколько поставщиков, которые не установить один патч, но патч изменил дату вперед на несколько месяцев. Это сознательный обман, и он не очень распространен,” основатель обсолютно Карстен Нол рассказал Wired.
Нил обнаружил, что крупные производители смартфонов, как Google, Sony и Samsung показал себя с самой лучшей, не хватает одного патча, телефона и Nokia пропустили от одного до трех патчей, НТС, Хуавей, LG и Motorola пропустил три-четыре пятна, в то время как китайские производители TCL и ZTE телефонов пропустил более четырех.
Хотя многие из этих пропущенные исправления для системы безопасности может не быть опасна по своей сути в изоляции, хакеры, как правило, связать между собой несколько дыр в безопасности, чтобы достичь своей цели, принимая за приборами и кражи данных. Оставляя никаких отверстий незакрытых ослабляет общую безопасность устройства.
“Современные операционные системы включают в себя несколько барьеров безопасности ... все из которых, как правило, должны быть нарушены, чтобы дистанционно взломать телефон. Благодаря этой сложности, несколько недостающие патчи обычно не хватает для хакера удаленно нарушить защиту устройства Android,” исследователя написали.
Хотя преступники, как правило, полагаются на социальную инженерию, чтобы попытаться украсть данные пользователей, через вредоносные программы и тому подобное, спонсируемых государством субъекты скорее использовать пропущенные патчи как часть их атак с использованием неизвестных ранее методов, говорят исследователи.
Продукт безопасности Android от Google водят, Скотт Робертс, сказал: “Мы работаем с [СРЛ], чтобы улучшить свои механизмы обнаружения для учета ситуаций, когда устройство использует альтернативный обновлений безопасности, а не Гугл-предложил обновление для системы безопасности.
“Обновлений для системы безопасности являются одним из многих слоев, используемых для защиты устройств и пользователей Android. Встроенные функции платформы, такие как изолирование приложений и служб безопасности, таких как Google играть в защите, так же важны. Эти уровни безопасности в сочетании с огромным разнообразием экосистемы Android — способствовать выводы исследователей о том, что удаленный эксплуатации Android-устройств остается сложной.” Гугл следит за пользователями Android, даже с помощью служб Геолокации отключены
Категория: Компьютеры